האקרים שתוקפים דיפלומטים

הכלי החדש גורם לקורבנותיו להתקין נוזקה ממה שנראה כמו האתר של Adobe, במטרה לחלץ מידע רגיש מהמטרות הפוטנציאליות של קבוצת טורלה.

אורלי הררי , כ"ג בטבת תשע"ח

האקרים
האקרים
צילום: אייסטוק

חברת אבטחת המידע ESET, זיהתה נוזקה חדשה בה משתמשת קבוצת טורלה (Turla) – קבוצת האקרים המיוחסת לרוסיה ואחראית לתקיפות רבות בעבר, גם הפעם התקיפות מכוונות בדייקנות לדיפלומטים וארגונים פוליטיים במזרח אירופה.

הכלי החדש גורם לקורבנותיו להתקין נוזקה ממה שנראה כמו האתר של Adobe, במטרה לחלץ מידע רגיש מהמטרות הפוטנציאליות של קבוצת טורלה.

קבוצת טורלה כבר השתמשה בעבר בתוכנות מזויפות להתקנת Flash Adobe על מנת לשתול את אחת מהדלתות האחוריות שלהם, אך זו הפעם הראשונה בה הורדת התוכנה מתבצעת מכתובות URL וכתובות IP לגיטימיות של Adobe.

עם זאת הנוזקה של טורלה לא פגעה באף אחד מהעדכונים הלגיטימיים של נגן ה-Flash, וכן שאין קשר בינה ובין פרצה ידועה כלשהי במוצרי Adobe.

כיצד הנוזקה מנצלת את Adobe Flash?

ESET, העוקבת אחר קבוצת טורלה מקרוב במשך שנים רבות, מצאה כי לא רק שהנוזקה החדשה הזו ארוזה בתוך תוכנת התקנה לגיטימית של נגן ה-Flash, אלא גם נראית שהיא מגיעה מהכתובת adobe.com.

מנקודת המבט של משתמש הקצה, כתובת ה-IPהמרוחקת שייכת ל-Akamai, רשת הפצת התוכן (Content Delivery Network, CDN) הרשמית בה Adobe משתמשת כדי להפיץ את תוכנת ההתקנה הלגיטימית לנגן ה-Flash שלה.

עם זאת, בבדיקה קפדנית יותר הבחינה בכך שתוכנת ההתקנה המזויפות ל-Flash ביצעה בקשת GET כדי לחלץ מידע רגיש מהמערכות שנפרצו זה עתה. מנגנון הניטור של ESET הצליח לחשוף כי תוכנות ההתקנה גנבה נתונים לכתובות get.adobe.com מאז יולי 2016. שימוש בכתובות אינטרנט לגיטימיות לגניבת נתונים הופכת את זיהוי התנועה להרבה יותר קשה עבור חברות האבטחה, מה שמדגיש את רצונה של קבוצת טורלה לשמור על פרופיל נמוך ככל האפשר.

"לטורלה יש דרכים מתוחכמות לגרום למשתמשים להוריד תוכנות הנראות אותנטיות, והאופן בו הם מסתירים את תנועת הרשת הזדונית שלהם הוא חכם", אמר ז'אן-יאן בוטין, חוקר נוזקות בכיר בחברת ESET.

"גם המשתמשים המנוסים ביותר עלולים ליפול בפח ולהוריד קובץ זדוני שנראה כאילו הוא מגיע מ-Adobe.com, זאת מכיוון שכתובות ה-IP וה-URL מחקות את התשתית הלגיטימית של Adobe. מכיוון שכל ההורדות אותן ראינו בוצעו באמצעות פרוטוקול HTTP, אנו ממליצים לארגונים לאסור הורדה של קבצים דרך אתרים לא-מאובטחים. הקפדה על עיקרון זה תפחית את האפקטיביות של המתקפות של קבוצת טורלה, מכיוון שקשה יותר ליירט ולשנות נתונים המועברים באופן מוצפן בין מכונת קצה ובין שרת מרוחק. שנית, בדיקת חתימות הקבצים עשויה לסייע לקבוע האם קורה משהו חשוד, היות והקבצים של Adobe חתומים דיגיטלית, בעוד שקבצי הנוזקה אינם חתומים. נקיטה באמצעים אלו עשויה לעזור למשתמשים להימנע מנפילה למלכודת האחרונה שטמנה קבוצת טורלה".

עדויות למעורבותה של קבוצת טורלה

המתקפה האחרונה משויכת לקבוצת טורלה מכמה סיבות. ראשית, חלק מתוכנות ההתקנה המזויפות מותירות אחריהן דלת אחורית הנקראת Mosquito, שכבר זוהתה בעבר כנוזקה של קבוצת טורלה. שנית, חלק משרתי השליטה והבקרה המקושרים לדלתות האחוריות האלה משתמשים בכתובות SATCOM IP ששויכו בעבר לקבוצת טורלה. בנוסף, קיימים כמה מאפיינים משותפים לנוזקה הזו ולמשפחות נוזקות אחרות בהן משתמשת קבוצת טורלה.


הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il